In qualità di operatore, è possibile aggiungere o modificare i valori delle proprietà di sistema.
Le tabelle seguenti descrivono alcune delle proprietà di sistema. Come operatore, è possibile impostare i valori delle proprietà seguenti.
- Email di avviso
- Avvisi (Alerts)
- Autorità di certificazione
- Conservazione dei dati
- Edge
- Attivazione Edge
- Monitoraggio
- Notifiche
- Reimpostazione password e blocco
- API che limitano la velocità
- Diagnostica remota
- Segmentazione
- Reimpostazione autonoma password
- Autenticazione a due fattori
- Configurazione di VNF
- VPN
Proprietà di sistema | Descrizione |
---|---|
vco.alert.mail.to | Quando viene attivato un avviso, viene inviata immediatamente una notifica all'elenco degli indirizzi email forniti nel campo Value di questa proprietà di sistema. È possibile immettere ID email multipli separati da virgole. Se la proprietà non contiene alcun valore, la notifica non viene inviata. La notifica ha lo scopo di avvisare il personale di assistenza/operativo di VMware di problemi imminenti prima di avvisare il cliente. |
vco.alert.mail.cc | Quando le email di avviso vengono inviate a qualsiasi cliente, viene inviata una copia agli indirizzi email forniti nel campo Value di questa proprietà di sistema. È possibile immettere ID email multipli separati da virgole. |
mail.* | Sono disponibili più proprietà di sistema per controllare le email di avviso. È possibile definire i parametri email quali le proprietà SMTP, il nome utente, la password e così via. |
Proprietà di sistema | Descrizione |
---|---|
vco.alert.enable | Consente di attivare o disattivare globalmente la creazione di avvisi sia per i clienti Operatore che per i clienti Enterprise. |
vco.enterprise.alert.enable | Consente di attivare o disattivare globalmente la creazione di avvisi per i clienti Enterprise. |
vco.operator.alert.enable | Consente di attivare o disattivare globalmente la creazione di avvisi per gli operatori. |
Proprietà di sistema | Descrizione |
---|---|
session.options.enableBastionOrchestrator | Abilita la funzionalità Orchestrator Bastion. Per ulteriori informazioni, vedere la Guida alla configurazione di Orchestrator Bastion disponibile all'indirizzo https://docs.vmware.com/it/VMware-SD-WAN/index.html. |
vco.bation.private.enable | Consente all'Orchestrator di essere l'Orchestrator privato della coppia di Bastion. |
vco.bation.public.enable | Consente all'Orchestrator di essere l'Orchestrator pubblico della coppia di Bastion. |
Proprietà di sistema | Descrizione |
---|---|
edge.certificate.renewal.window | Questa proprietà di sistema facoltativa consente all'operatore di definire una o più finestre di manutenzione durante le quali il rinnovo del certificato dell'Edge è abilitato. I certificati il cui rinnovo è previsto al di fuori delle finestre verranno rinviati finché l'ora corrente non rientrerà in una delle finestre abilitate. Abilitare la proprietà di sistema: Per abilitare questa proprietà di sistema, digitare "true" per "enabled" nella prima parte dell'area di testo Valore (Value) nella finestra di dialogo Modifica proprietà di sistema (Modify System Property). Di seguito è disponibile un esempio della prima parte di questa proprietà di sistema quando è abilitata. Gli operatori possono definire più finestre per limitare i giorni e le ore del giorno durante cui i rinnovi degli Edge sono abilitati. Ogni finestra può essere definita da un giorno o da un elenco di giorni (separati da una virgola), nonché da un'ora di inizio e un'ora di fine. Le ore di inizio e di fine possono essere specificate rispetto al fuso orario locale di un Edge o rispetto all'ora UTC. Per un esempio, vedere l'immagine qui sotto.
Nota: Se gli attributi non sono presenti, il valore predefinito è "false".
Quando si definiscono gli attributi della finestra, attenersi alle seguenti linee guida:
Se mancano i valori indicati sopra, i valori predefiniti degli attributi in ogni definizione di finestra sono i seguenti:
Disattivare la proprietà di sistema: Questa proprietà di sistema è disattivata per impostazione predefinita. Ciò significa che il certificato verrà rinnovato automaticamente dopo la scadenza. "Enabled" sarà impostato su "false" nella prima parte dell'area di testo Valore (Value) nella finestra di dialogo Modifica proprietà di sistema (Modify System Property). Di seguito, è disponibile un esempio di questa proprietà quando è disattivata. { "enabled": false, "windows": [ { Nota: questa proprietà di sistema richiede che l'infrastruttura PKI sia abilitata. |
gateway.certificate.renewal.window | Questa proprietà di sistema facoltativa consente all'operatore di definire una o più finestre di manutenzione durante le quali il rinnovo del certificato del gateway è abilitato. I certificati il cui rinnovo è previsto al di fuori delle finestre verranno rinviati finché l'ora corrente non rientrerà in una delle finestre abilitate. Abilitare la proprietà di sistema: Per abilitare questa proprietà di sistema, digitare "true" per "enabled" nella prima parte dell'area di testo Valore (Value) nella finestra di dialogo Modifica proprietà di sistema (Modify System Property). Per un esempio, vedere l'immagine qui sotto. Gli operatori possono definire più finestre per limitare i giorni e le ore del giorno durante cui i rinnovi degli Edge sono abilitati. Ogni finestra può essere definita da un giorno o da un elenco di giorni (separati da una virgola), nonché da un'ora di inizio e un'ora di fine. Le ore di inizio e di fine possono essere specificate rispetto al fuso orario locale di un Edge o rispetto all'ora UTC. Per un esempio, vedere l'immagine qui sotto.
Nota: Se gli attributi non sono presenti, il valore predefinito è "false".
Quando si definiscono gli attributi della finestra, attenersi alle seguenti linee guida:
Se mancano i valori indicati sopra, i valori predefiniti degli attributi in ogni definizione di finestra sono i seguenti:
Disattivare la proprietà di sistema: Questa proprietà di sistema è disattivata per impostazione predefinita. Ciò significa che il certificato verrà rinnovato automaticamente dopo la scadenza. "Enabled" sarà impostato su "false" nella prima parte dell'area di testo Valore (Value) nella finestra di dialogo Modifica proprietà di sistema (Modify System Property). Di seguito, è disponibile un esempio di questa proprietà quando è disattivata. { "enabled": false, "windows": [ { Nota: questa proprietà di sistema richiede che l'infrastruttura PKI sia abilitata. |
Proprietà di sistema | Descrizione |
---|---|
retention.highResFlows.days | Questa proprietà di sistema consente agli operatori di configurare la conservazione dei dati delle statistiche dei flussi ad alta risoluzione per un periodo compreso tra 1 e 90 giorni. |
retention.lowResFlows.months | Questa proprietà di sistema consente agli operatori di configurare la conservazione dei dati delle statistiche dei flussi a bassa risoluzione per un periodo compreso tra 1 e 365 giorni. |
session.options.maxFlowstatsRetentionDays | Questa proprietà consente agli operatori di eseguire query sui dati delle statistiche dei flussi di più di due settimane. |
Proprietà di sistema | Descrizione |
---|---|
edge.offline.limit.sec | Se Orchestrator non rileva un heartbeat da un Edge per il periodo di tempo specificato, lo stato dell'Edge viene posto in modalità OFFLINE. |
edge.link.unstable.limit.sec | Quando Orchestrator non riceve le statistiche relative a un link per il periodo di tempo specificato, il link viene posto in modalità INSTABILE (UNSTABLE). |
edge.link.disconnected.limit.sec | Quando Orchestrator non riceve le statistiche relative a un link per il periodo di tempo specificato, il link viene disconnesso. |
edge.deadbeat.limit.days | Se un Edge non è attivo per il numero di giorni specificato, l'Edge non viene considerato per la creazione di avvisi. |
vco.operator.alert.edgeLinkEvent.enable | Consente di attivare o disattivare globalmente gli avvisi degli Operatori per gli eventi di link Edge. |
vco.operator.alert.edgeLiveness.enable | Consente di attivare o disattivare globalmente gli avvisi degli Operatori per gli eventi di attività Edge. |
Proprietà di sistema | Descrizione |
---|---|
edge.activation.key.encode.enable | Base64 codifica i parametri dell'URL di attivazione per oscurare i valori quando l'email di attivazione Edge viene inviata al contatto del sito. |
edge.activation.trustedIssuerReset.enable | Reimposta l'elenco degli emittenti di certificati attendibili dell'Edge in modo che contenga solo l'autorità di certificazione di Orchestrator. Tutto il traffico TLS dall'Edge è limitato dal nuovo elenco di emittenti. |
network.public.certificate.issuer | Imposta un valore di network.public.certificate.issuer uguale alla codifica PEM dell'emittente del certificato del server Orchestrator, quando edge.activation.trustedIssuerReset.enable è impostato su True. In questo modo, l'emittente del certificato del server viene aggiunto all'emittente attendibile dell'Edge, oltre all'autorità di certificazione di Orchestrator. |
Proprietà di sistema | Descrizione |
---|---|
vco.monitor.enable | Attiva o disattiva globalmente il monitoraggio degli stati delle entità Enterprise o Operatore. Se si imposta Value su False si impedisce a SD-WAN Orchestrator di modificare gli stati delle entità e di attivare gli avvisi. |
vco.enterprise.monitor.enable | Attiva o disattiva globalmente il monitoraggio degli stati delle entità Enterprise. |
vco.operator.monitor.enable | Attiva o disattiva globalmente il monitoraggio degli stati delle entità Operatore. |
Proprietà di sistema | Descrizione |
---|---|
vco.notification.enable | Consente di attivare o disattivare globalmente la consegna delle notifiche di avviso sia all'operatore che alle aziende. |
vco.enterprise.notification.enable | Consente di attivare o disattivare globalmente la consegna delle notifiche di avviso alle aziende. |
vco.operator.notification.enable | Consente di attivare o disattivare globalmente la consegna delle notifiche di avviso all'operatore. |
Proprietà di sistema | Descrizione |
---|---|
vco.enterprise.resetPassword.token.expirySeconds | Periodo di tempo dopo il quale il collegamento di reimpostazione della password per un utente Enterprise scade. |
vco.enterprise.authentication.passwordPolicy | Definisce la complessità, cronologia e i criteri di scadenza delle password degli utenti dei clienti. Modificare il modello JSON nel campo Value per definire quanto segue: strength
Poiché la nuova password varia di soli 3 caratteri rispetto alla vecchia password, la denominazione “sitting” verrebbe rifiutata come nuova password in sostituzione di “kitten”. Il valore predefinito -1 indica che questa funzionalità non è abilitata.
expiry:
history:
|
enterprise.user.lockout.defaultAttempts | Numero di tentativi di accesso da parte dell'utente aziendale. Se l'accesso non riesce per il numero di volte specificato, l'account viene bloccato. |
enterprise.user.lockout.defaultDurationSeconds | Periodo di tempo per il quale l'account utente Enterprise è bloccato. |
enterprise.user.lockout.enabled | Attiva o disattiva l'opzione di blocco per gli errori di accesso all'azienda. |
vco.operator.resetPassword.token.expirySeconds | Periodo di tempo dopo il quale il collegamento di reimpostazione della password per un utente operatore scade. |
vco.operator.authentication.passwordPolicy | Definisce la complessità, cronologia e i criteri di scadenza delle password degli utenti operatore. Modificare il modello JSON nel campo Value per definire quanto segue: strength
Poiché la nuova password varia di soli 3 caratteri rispetto alla vecchia password, la denominazione “sitting” verrebbe rifiutata come nuova password in sostituzione di “kitten”. Il valore predefinito -1 indica che questa funzionalità non è abilitata.
expiry:
history:
|
operator.user.lockout.defaultAttempts | Numero di tentativi di accesso da parte dell'utente operatore. Se l'accesso non riesce per il numero di volte specificato, l'account viene bloccato. |
operator.user.lockout.defaultDurationSeconds | Periodo di tempo per il quale l'account utente operatore bloccato. |
operator.user.lockout.enabled | Attiva o disattiva l'opzione di blocco per gli errori di accesso operatore. |
Proprietà di sistema | Descrizione |
---|---|
vco.api.rateLimit.enabled | Consente ai superuser operatore di attivare o disattivare la funzionalità di limitazione della velocità a livello di sistema. Per impostazione predefinita, il valore è False.
Nota: La funzionalità di limitazione della velocità non è effettivamente abilitata, ovvero non rifiuterà le richieste API che superano i limiti configurati, a meno che l'impostazione
vco.api.rateLimit.mode.logOnly sia disattivata.
|
vco.api.rateLimit.mode.logOnly | Consente al superuser operatore di utilizzare il limite di velocità in modalità LOG_ONLY. Quando il valore è impostato su True, se un limite di velocità viene superato, questa opzione registra solo l'errore e genera le rispettive metriche consentendo ai client di effettuare richieste senza limitazione della velocità. Quando il valore è impostato su False, l'API della richiesta viene limitata con i criteri definiti e viene restituito l'errore HTTP 429. |
vco.api.rateLimit.rules.global | Consente di definire un set di criteri applicabili globalmente utilizzati dalla funzionalità di limitazione della velocità in un array JSON. Per impostazione predefinita, il valore è un array vuoto. Ogni tipo di utente (operatore, partner e cliente) può effettuare fino a 500 richieste ogni 5 secondi. Il numero di richieste è soggetto a modifica in base al modello di comportamento delle richieste con velocità limitata. L'array JSON è costituito dai seguenti parametri:
Tipo (Type): gli oggetti type rappresentano i contesti diversi in cui vengono applicati i limiti di velocità. Gli oggetti type disponibili sono i seguenti:
Criteri (Policies): aggiungere regole ai criteri per applicare le richieste che corrispondono alla regola, configurando i seguenti parametri:
Enabled: ogni limite di type può essere attivato o disattivato includendo la chiave enabled in APIRateLimiterTypeObject. Per impostazione predefinita, il valore di enabled è True, anche se la chiave non è inclusa. È necessario includere la chiave "enabled": false per disattivare i singoli limiti di type. L'esempio seguente illustra un file JSON di esempio con valori predefiniti: [ { "type": "OPERATOR_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "MSP_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] }, { "type": "ENTERPRISE_USER", "policies": [ { "match": { "type": "ALL" }, "rules": { "reservoir": 500, "reservoirRefreshAmount": 500, "reservoirRefreshInterval": 5000 } } ] } ]
Nota: È consigliabile non modificare i valori predefiniti dei parametri di configurazione.
|
vco.api.rateLimit.rules.enterprise.default | Include il set predefinito di criteri specifici dell'azienda applicati ai clienti appena creati. Le proprietà specifiche del cliente vengono archiviate nella proprietà aziendale vco.api.rateLimit.rules.enterprise. |
vco.api.rateLimit.rules.enterpriseProxy.default | Include il set predefinito di criteri specifici dell'azienda applicati ai partner appena creati. Le proprietà specifiche dei partner vengono archiviate nella proprietà del proxy aziendale vco.api.rateLimit.rules.enterpriseProxy. |
Per ulteriori informazioni sulla limitazione della velocità, vedere Richieste API che limitano la velocità.
Proprietà di sistema | Descrizione |
---|---|
network.public.address | Specifica l'indirizzo di origine del browser o il nome host DNS utilizzato per accedere all'interfaccia utente di SD-WAN Orchestrator. |
network.portal.websocket.address | Consente di impostare un nome host o un indirizzo DNS alternativo per accedere all'interfaccia utente di SD-WAN Orchestrator da un browser, se l'indirizzo del browser non è uguale al valore della proprietà di sistema network.public.address . Poiché la diagnostica remota utilizza ora una connessione WebSocket, per garantire la sicurezza del Web, l'indirizzo di origine del browser utilizzato per accedere all'interfaccia utente di Orchestrator viene convalidato per le richieste in arrivo. Nella maggior parte dei casi, questo indirizzo è uguale alla proprietà di sistema |
session.options.websocket.portal.idle.timeout | Consente di impostare la quantità totale di tempo (in secondi) per cui la connessione WebSocket del browser rimane attiva in uno stato inattivo. Per impostazione predefinita, la connessione WebSocket del browser rimane attiva per 300 secondi in uno stato inattivo. |
Proprietà di sistema | Descrizione |
---|---|
enterprise.capability.enableSegmentation | Attiva o disattiva la funzionalità di segmentazione per gli utenti Enterprise. |
enterprise.segments.system.maximum | Specifica il numero massimo di segmenti consentiti per qualsiasi utente aziendale. Assicurarsi di modificare il valore di questa proprietà di sistema impostandolo su 128 se si desidera abilitare 128 segmenti nell'SD-WAN Orchestrator per un utente aziendale. |
enterprise.segments.maximum | Specifica il valore predefinito per il numero massimo di segmenti consentiti per un utente aziendale nuovo o esistente. Il valore predefinito per qualsiasi utente aziendale è 16.
Nota: Questo valore deve essere minore o uguale al numero definito nella proprietà di sistema enterprise.segments.system.maximum.
Se si desidera abilitare 128 segmenti per un utente aziendale, non è consigliabile modificare il valore di questa proprietà di sistema. È invece possibile abilitare Funzionalità cliente (Customer Capabilities) nella pagina Configurazione cliente (Customer Configuration) per configurare il numero di segmenti richiesto. Per istruzioni, fare riferimento alla sezione "Configurazione delle funzionalità dei clienti" nella guida dell'operatore di VMware SD-WAN nella documentazione di VMware SD-WAN. |
enterprise.subinterfaces.maximum | Specifica il numero massimo di interfacce secondarie che possono essere configurate per un utente aziendale. Il valore predefinito è 32. |
enterprise.vlans.maximum | Specifica il numero massimo di VLAN che è possibile configurare per un utente aziendale. Il valore predefinito è 32. |
session.options.enableAsyncAPI | Quando il numero di segmenti viene aumentato a 128 per qualsiasi utente aziendale, per impedire timeout dell'interfaccia utente, è possibile abilitare il supporto delle API asincrone nell'interfaccia utente utilizzando questa proprietà di sistema. Il valore predefinito è true. |
session.options.asyncPollingMilliSeconds | Specifica l'intervallo di polling per le API asincrone nell'interfaccia utente. Il valore predefinito è 5000 millisecondi. |
session.options.asyncPollingMaxCount | Specifica il numero massimo di chiamate all'API getStatus dall'interfaccia utente. Il valore predefinito è 10. |
vco.enterprise.events.configuration.diff.enable | Attiva o disattiva la registrazione degli eventi diff della configurazione. Ogni volta che il numero di segmenti per un utente aziendale è superiore a 4, la registrazione degli eventi diff della configurazione verrà disattivata. È possibile abilitare la registrazione degli eventi diff usando questa proprietà di sistema. |
Proprietà di sistema | Descrizione |
---|---|
vco.enterprise.resetPassword.twoFactor.mode | Definisce la modalità per il secondo livello per l'autenticazione di reimpostazione della password, per tutti gli utenti Enterprise. Al momento, è supportata solo la modalità SMS. |
vco.enterprise.resetPassword.twoFactor.required | Attiva o disattiva l'autenticazione a due fattori per la reimpostazione della password degli utenti Enterprise. |
vco.enterprise.selfResetPassword.enabled | Attiva o disattiva la reimpostazione della password in autonomia per gli utenti Enterprise. |
vco.enterprise.selfResetPassword.token.expirySeconds | Periodo di tempo dopo il quale il collegamento di reimpostazione della password in autonomia per un utente Enterprise scade. |
vco.operator.resetPassword.twoFactor.required | Attiva o disattiva l'autenticazione a due fattori per la reimpostazione della password degli utenti operatore. |
vco.operator.selfResetPassword.enabled | Attiva o disattiva la reimpostazione della password in autonomia per gli utenti operatore. |
vco.operator.selfResetPassword.token.expirySeconds | Periodo di tempo dopo il quale il collegamento di reimpostazione della password in autonomia per un utente operatore scade. |
Proprietà di sistema | Descrizione |
---|---|
vco.enterprise.authentication.twoFactor.enable | Attiva o disattiva l'autenticazione a due fattori degli utenti Enterprise. |
vco.enterprise.authentication.twoFactor.mode | Definisce la modalità per l'autenticazione di secondo livello per gli utenti Enterprise. Al momento SMS è supportato solo SMS come modalità di autenticazione di secondo livello. |
vco.enterprise.authentication.twoFactor.require | Definisce l'autenticazione a due fattori come obbligatoria per gli utenti Enterprise. |
vco.operator.authentication.twoFactor.enable | Attiva o disattiva l'autenticazione a due fattori per gli utenti Operatore. |
vco.operator.authentication.twoFactor.mode | Definisce la modalità per l'autenticazione di secondo livello per gli utenti operatore. Al momento SMS è supportato solo SMS come modalità di autenticazione di secondo livello. |
vco.operator.authentication.twoFactor.require | Definisce l'autenticazione a due fattori come obbligatoria per gli utenti operatore. |
Proprietà di sistema | Descrizione |
---|---|
edge.vnf.extraImageInfos | Definisce le proprietà di un'immagine VNF.
Per un'immagine VNF, è possibile immettere le seguenti informazioni in formato JSON nel campo
Valore (Value):
[ { "vendor": "Vendor Name", "version": "VNF Image Version", "checksum": "VNF Checksum Value", "checksumType": "VNF Checksum Type" } ]
Esempio di file JSON per l'immagine del firewall Check Point:
[ { "vendor": "checkPoint", "version": "r80.40_no_workaround_46", "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d", "checksumType": "sha-1" } ]
Esempio di file JSON per l'immagine del firewall Fortinet:
[ { "vendor": "fortinet", "version": "624", "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f", "checksumType": "sha-1" } ] |
edge.vnf.metric.record.limit | Definisce il numero di record da archiviare nel database |
enterprise.capability.edgeVnfs.enable | Abilita la distribuzione della funzionalità VNF nei modelli di Edge supportati. |
enterprise.capability.edgeVnfs.securityVnf.checkPoint | Abilita la funzionalità VNF del firewall delle reti Check Point |
enterprise.capability.edgeVnfs.securityVnf.fortinet | Abilita la funzionalità VNF del firewall delle reti Fortinet |
enterprise.capability.edgeVnfs.securityVnf.paloAlto | Abilita la funzionalità VNF del firewall delle reti Palo Alto |
session.options.enableVnf | Abilita la funzionalità VNF |
vco.operator.alert.edgeVnfEvent.enable | Attiva o disattiva globalmente gli avvisi degli operatori per gli eventi VNF dell'Edge |
vco.operator.alert.edgeVnfInsertionEvent.enable | Attiva o disattiva globalmente gli avvisi degli operatori per gli eventi di inserimento VNF dell'Edge |
Proprietà di sistema | Descrizione |
---|---|
vpn.disconnect.wait.sec | Intervallo di tempo che il sistema deve attendere prima di disconnettere un tunnel VPN. |
vpn.reconnect.wait.sec | Intervallo di tempo che il sistema deve attendere prima di riconnettere un tunnel VPN. |